L’automatisaton de la sécurité progresse au sein d’organisations qui fusionnent développement agile et exploitation de logiciels (DevOps).
C’est l’un des enseignements d’une enquête (DevSecOps Community Survey 2019) menée auprès de 5558 développeurs et professionnels IT dans le monde. Sonatype (éditeur du gestionnaire de composants logiciels Nexus) est à l’initiative. L’éditeur a reçu le soutien de CloudBees, Signal Sciences, Twistlock et le SEI de l’Université Carnegie Mellon.
75% des répondants jugent « matures » (27%) ou avancées (48%) les pratiques DevOps de leur organisation. Aussi, 47% des développeurs déclarent déployer des modifications en production plusieurs fois par semaine.
Mais accélérer la fréquence de livraison n’est pas sans risque.
Ainsi, près d’un quart des organisations ont été confrontées à une violation d’un composant open source au cours des douze derniers mois.
Pour faire face, 62% des organisations les plus avancées en matière de DevOps ont mis en place une politique de gouvernance open source. Par ailleurs, une sur deux s’appuie sur l’automatisation de la sécurité pour identifier les vulnérabilités dans les conteneurs.
Ces taux chutent à 25% et 16%, respectivement, pour les retardataires du DevOps.
Pour les organisations DevOps les plus avancées, il ne s’agit pas uniquement de « bâtir des murs plus solides » pour freiner les cyberattaquants. Mais de « prendre des mesures pour intégrer et automatiser la sécurité tout au long du cycle de développement logiciel », a déclaré dans un billet de blog Derek Weeks, vice president de Sonatype.
Ainsi, 82% des pro-DevOps (59% des retardataires) optent pour des solutions d’audit et de suivi des changements effectués sur l’ensemble du cycle de développement logiciel.
Par ailleurs, 75% des pro-DevOps (contre 46%) utilisent le chiffrement pour l’ensemble de leurs informations d’identification. Enfin, plus de huit organisations pro-DevOps sur dix (contre 63%) ont un plan de réponse aux incidents de cybersécurité.
Les équipes DevOps veulent ainsi mieux gérer le risque. Il reste qu’un développeur sur deux estime ne pas avoir assez de temps à consacrer aux enjeux de sécurité.
(crédit photo © Shutterstock.com)
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.